Design de segurança correto para acesso SSH no host e nas VMs do Proxmox

Navegue suas respostas
1

Eu entendo que, para a segurança, é preciso usar um chapéu paranoico sempre.

Meu cenário:

Eu vou ter 3 máquinas virtuais KVM instaladas no Proxmox VE

  1. servidor Apache / Tomcat
  2. Servidor executando o mysql

  3. Servidor executando o mongod

    • Todas essas máquinas virtuais serão desativadas pelo login de raiz direta e usarão apenas as chaves do passphrase-ssh. Cada um deles terá o mecanismo de firewall CSF instalado e permitirá o tráfego baseado em ip & porta.

Agora a pergunta

Eu tenho 3 opções sobre como configurar o login remoto quando o servidor-host for colocado em um provedor.

Escolha 1

a. Habilite o acesso SSH a todas as máquinas diretamente da internet e o risco aqui é que eu não quero expor mysql, mongodb e App server diretamente para o mundo externo, mesmo que seja apenas passprhrase-protected-ssh-key.

Escolha 2

a. Ative o SSH apenas para o host Proxmox e, em seguida, armazene minhas chaves ssh aqui. Isso parece assustador, pois qualquer pessoa que hackear meu login no Proxmox terá as chaves para todas as máquinas (mesmo protegidas por senha)

Escolha 3

a. Crie um openvpn em outra VM / roteador e permita que as regras de firewall forneçam acesso ssh às máquinas virtuais somente com esse segmento de VLAN, e assim posso armazenar chaves SSH no meu laptop / computador e não em qualquer servidor.

Eu sou uma empresa startup com uma disponibilidade de talentos muito limitada no gerenciamento de servidores Linux. Eu posso navegar no linux e não muito bom em coisas administrativas do sistema, mas leio o suficiente da segurança do Linux nas últimas semanas limitando o acesso e o fortalecimento geral do sistema linux. Eu só quero seguir o uso da regra / instalar apenas as ferramentas que são absolutamente necessárias.

Uma segunda pergunta Eu também quero saber se isso está certo - Minha preferência é parar a interface web do Proxmox por padrão e iniciar / interromper o apache2 atendendo a essa interface web com base nas necessidades. Porque a interface do apache é muito poderosa e fornecerá acesso de console a cada uma das VMs diretamente sem nenhuma chave SSH

Todas as ideias e conselhos gerais ou ponteiros também são muito bem-vindos.

    
por uk1974 23.04.2013 / 13:31

1 resposta

1

O que eu estou entendendo do seu post é que você deseja proteger seus servidores. Formulários de ataques SSH. A maneira simples de proteger seu servidor é configurar o Fail2ban no proxmox VE e também na VM. O Fail2ban impedirá os ataques ssh e bloqueará IPs com uma tentativa incorreta de senha incorreta. Tente. Vá em frente com o Fail2Ban.

    
por 18.10.2013 / 01:32

Tags

apache2 pedidos habilitados para sites, especifique subdomínios / configuração de domínios Como altero o diretório pessoal de www-data de / var / www para / home / www-data?